物聯網比以往任何時候都更能保證企業(yè)的靈活性和功能性。更多的連接設備有助于幫助企業(yè)簡化供應鏈運作，提高效率和降低現有流程中的成本，提高產品和服務質量，甚至為客戶創(chuàng)造新的產品和服務。

雖然物聯網數據的大規(guī)模生成、收集和分析必將為企業(yè)提供巨大的機會，但通過不安全的網絡和其他易受攻擊的入口可能很容易進入，而這正吸引著網絡犯罪分子。根據Gartner的數據，近20%的組織在過去三年中觀察到至少一次基于物聯網的攻擊。預計到2025年，全球聯網設備將達到750億臺，網絡安全漏洞和數據泄露的風險將比今天增加5倍。

因此，隨著我們進入一個物聯網主導的新時代，有必要重新審視在部署多個連接設備時籠罩企業(yè)的威脅，并將其納入企業(yè)安全戰(zhàn)略。以下是所有企業(yè)在進行網絡防御計劃時都應考慮的物聯網漏洞的三個例子，從看似無害的產品上的漏洞到徹頭徹尾的惡意。

即使是最簡單的連接設備也容易受到攻擊

很多去維加斯的人回來時帶的錢遠遠少于他們去時帶的錢，但這通常與任何網絡攻擊都沒有關系，更不用說從魚缸里開始的攻擊了。然而，這正是罪惡之城一家無名賭場首次遭遇網絡安全違規(guī)的原因。

連接的溫度計用于賭場水族館內的遠程監(jiān)控和喂食，為希望獲取最高消費游客數據的黑客提供了完美的接入點。黑客總共竊取了10GB的個人數據，并將其發(fā)送到芬蘭的一個遠程服務器。

物聯網設備正越來越多地應用于不同的領域，正如維加斯魚缸的例子所示，即使是最簡單的連接設備也可能是企業(yè)網絡其他私有部分的潛在網關。鑒于世界上80%的數據都保存在私人服務器上，讓黑客們遠離黑客變得前所未有的重要。

連接設備的物理保護和處理可能會很麻煩

有時你需要警惕的不是黑客，而是物聯網設備本身的行為。2018年，網絡安全博客Limited Results對LIFX迷你白色燈泡進行了黑客攻擊，發(fā)現智能燈泡本身存在漏洞。任何對產品有物理訪問權限的人都可以提取所有者的Wi-Fi密碼，因為它與RSA私鑰和根密碼一起以明文形式存儲在設備上。

LIFX通過固件更新修復了這些漏洞，但它對設備的物理狀態(tài)提出了重要問題，包括在使用和處理舊的或有缺陷的智能設備時的保護。隨著企業(yè)不斷采用和升級物聯網，這一經常被遺忘的脆弱性利用方面必須擺在人們的面前。

工業(yè)規(guī)模的惡意軟件——網絡物理威脅

世界已經習慣了惡意軟件竊取私人信息，不過卻很少對受害者構成身體威脅，正如維加斯fish和LIFX的例子所示。直到2018年，Triton工業(yè)惡意軟件被發(fā)現針對沙特阿拉伯煉油廠的安全系統。據說這是有史以來第一個設計用來危害工業(yè)安全系統的惡意軟件，使黑客能夠禁用傳感器并允許致命的災難。黑客們采取了故意的行動，花時間滲透到越來越多的煉油廠系統中，開發(fā)出更精確的惡意軟件。

幸運的是，在執(zhí)行更多攻擊之前，該實例已經被發(fā)現，但這并不能阻止黑客開發(fā)更危險的惡意軟件。因此，隨著工業(yè)控制系統越來越相互連接，越來越依賴物聯網設備，企業(yè)必須采取措施為這些層建立安全機制。

在可預見的未來，物聯網的雛形很可能使其成為黑客的一個有吸引力的目標。隨著越來越多的技術出現，IT環(huán)境變得越來越復雜，物聯網的攻擊面將會增加。企業(yè)現在必須采取正確的預防措施，以防止對新實施的物聯網環(huán)境的成功攻擊可能造成嚴重損害。

加強網絡安全的一種方法是在安全環(huán)境中使用由機器學習和人工智能等高級分析處理的物聯網數據。通過實施先進的分析技術，可以監(jiān)控所有連接設備的行為和使用異常，從而識別嚴重的安全事故或誤用。此外，通過采用區(qū)塊鏈，企業(yè)可以消除物聯網中對中央權威的需求。這意味著，如果要求公共組中的連接設備執(zhí)行異常任務，它們可以向管理員發(fā)出警報。

企業(yè)在支持物聯網環(huán)境時，還必須考慮其合作伙伴。由專門的網絡安全參與者運營的高級安全防御中心實時應對網絡攻擊，可以為企業(yè)的網絡安全、合規(guī)性和新興技術需求提供一站式服務。

這樣一個網絡安全中心應該由一系列復雜的工具和平臺提供支持，這些工具和平臺包括日志和行為分析、網絡威脅情報、基于云的安全框架、由機器學習驅動的高級攻擊預測平臺，并集成到自動化和編排平臺中。

因此，這些中心可以為企業(yè)提供一個全面的安全儀表盤，即IT和物聯網及其安全的鳥瞰圖。從成本和技能角度來看，這些中心很難建立和維護，因此企業(yè)可以利用專家合作伙伴的深厚專業(yè)知識，幫助加強其系統和數據保護態(tài)勢，并應對不斷變化的法規(guī)。

只有對物聯網安全采取全面的方法，即采用基于云的普及控制，通過新興技術擴展可見性和保護，才能確保企業(yè)端到端受到保護，并保持符合數據保護標準。

總之，沒有必要害怕物聯網，有了正確的保障措施，它就可以兌現承諾，改進其設計提供的流程和服務。